行业背景
石油和天然气是现代生产生活必不可少的重要能源,从石油中提炼的各种燃料油是运输、电站、冶金等生产生活的重要燃料;天然气作为一种洁净环保的优质能源,已成为国民经济生活中不可或缺的主要燃料。油田生产的产品为原油和天然气等易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分复杂,各种高温高压设备较多且对操作都有严格要求,一旦生产系统出现安全问题,后果不堪设想。由于生产产品的特殊性,油气田及各生产站点一旦发生事故,所造成危害影响严重:首先是造成现场人员伤亡、设备的损坏;事故发生后,其次生灾害,包括生产原料的泄露、扩散,都会很难处理,在很大范围内、长时间造成空气、水源、土地的污染,严重影响厂区附近人民群众的生产生活。因此,近年来国务院、各部委,以及各石油生产企业,针对油气田开采等能源生产的网络安全问题,陆续颁布了《工业控制系统信息安全防护指南》、《网络安全法》、《关键信息基础设施安全保护条例》、《等级保护2.0》等法律法规和政策标准。
需求分析
主机防护较弱
采油区各站场,包括联合站、转油站等在内的油气暂存、转运、处理站点内的工业控制主机、服务器等,对恶意代码的防范不足,对移动介质存储、无线Wifi等缺乏技术管控手段。
安全审计不足
对各油气井、站场、生产管理区的网络通信流量没有进行监测和记录,无法对网络中存在的非法、异常行为实时发现并报警;同时,对发生的安全事件也无法做到追踪溯源。
无法统一管理
由于油田各生产单位、采油区、站场分布分散,无法对各安全设备进行统一管理,导致安全设备的运维成本增加,安全事件应急处置时间延长,无法做到实时动态响应。
网络边界风险
各生产区以及管理中心,没有根据要求配置网络隔离设备或访问控制设备,对通过网络进行的非法访问或入侵行为,没有有效的技术手段进行防护,内部网络存在被攻击的风险。
运维管控缺乏
由于油田普遍缺乏运维安全管控能力,尤其是针对远程运维人员的安全管理与审计能力较弱,导致恶意代码或入侵行为可能通过运维路径进行传播和蔓延,造成系统面临网络风险。
生产设备接入风险
由于采油井或采气设备属于无人值守站点,非法设备的接入有可能造成油井生产的异常运行,甚至有可能通过传输链路对油气生产管理区的生产系统造成网络威胁。
解决方案
工业主机防护
在生产管理区的生产监控终端、服务器、开发站、运维终端及监控工作站分别部署主机安全防护系统,实现对恶意代码阻断、移动存储介质管控、非法外联管控等安全防护功能。
网络安全审计
在生产管理区核心交换机及站场汇聚点交换机旁路部署工控安全审计系统,实时监测工控网络中违规行为、异常流量和不明设备接入,实现网络攻击检测和异常行为审计。
网络边界防护
生产管理区出口交换机处部署工业防火墙,进行网络边界隔离和访问控制,对现场工业协议实现指令级细粒度过滤,对非法入侵、网络攻击等恶意网络行为进行阻断和防护。
设备接入认证
通过在井口部署设备接入认证代理装置,对接入井口控制柜的设备进行认证处理,并由采油管理区的安全认证平台进行统一管理,实现设备接入的安全认证,防止非法设备违规接入。
运维安全审计
对内部和第三方运维人员,以及远程运维人员进行细粒度的授权管控,同时对运维过程中的行为进行实时监控,对违规操作进行即时阻断,实现运维操作的可见、可管、可控、可审。
集中安全管理
在生产管理域单独划分安全管理域,部署日志审计、工控集中管理平台等设备,对工业控制系统进行检查评估,网络流量及日志进行安全审计,对所有安全设备进行统一策略管理。
相关安全产品
工业主机安全卫士
工业防火墙
网络接入控制系统
工控安全审计系统
日志审计与分析系统
运维安全审计系统
工控集中安全管理系统
工控安全评估系统